作者 主題: LDAP權限問題  (閱讀 9901 次)

0 會員 與 1 訪客 正在閱讀本文。

javaaobo

  • 憂鬱的高中生
  • ***
  • 文章數: 102
    • 檢視個人資料
LDAP權限問題
« 於: 2007-12-31 17:23 »
我現在有三台Server(a,b,c),有兩個ldap account user(AA,BB)
AA此user要能連線到a,b Server,不能連c Server
BB此user要能連線到b,c Server,不能連a Server
我要怎麼設定呢
---------
某某爛爛公司的肉肉MIS
歡迎加入好友
我的MSN:constantine0317@hotmail.com

日京三子

  • 全區板主
  • 俺是博士!
  • *****
  • 文章數: 8824
    • 檢視個人資料
    • http://www.24online.cjb.net
回覆: LDAP權限問題
« 回覆 #1 於: 2008-01-02 10:28 »
請看我之前放在SAMC的Openldap 投影片內容,裡面有提到 ^^
哈克不愛的多合一輸入平台----->新香草口味
過去的時間不斷流逝,抹去的眼淚已成追憶;
乾枯的雙手無力阻止,再會了我遠去的曾經。

javaaobo

  • 憂鬱的高中生
  • ***
  • 文章數: 102
    • 檢視個人資料
回覆: LDAP權限問題
« 回覆 #2 於: 2008-01-02 11:27 »
請看我之前放在SAMC的Openldap 投影片內容,裡面有提到 ^^
不好意思,可以提供Link嗎?,我找不到
---------
某某爛爛公司的肉肉MIS
歡迎加入好友
我的MSN:constantine0317@hotmail.com

javaaobo

  • 憂鬱的高中生
  • ***
  • 文章數: 102
    • 檢視個人資料
回覆: LDAP權限問題
« 回覆 #3 於: 2008-01-07 13:25 »
請看我之前放在SAMC的Openldap 投影片內容,裡面有提到 ^^
不好意思,可以提供Link嗎?,我找不到
有那位好心的大大能提供此簡報嗎?
---------
某某爛爛公司的肉肉MIS
歡迎加入好友
我的MSN:constantine0317@hotmail.com

日京三子

  • 全區板主
  • 俺是博士!
  • *****
  • 文章數: 8824
    • 檢視個人資料
    • http://www.24online.cjb.net
回覆: LDAP權限問題
« 回覆 #4 於: 2008-01-07 14:11 »
首先,可以先看看這個:
http://phorum.vbird.org/viewtopic.php?p=90506#90506


接著,看一下在 /etc/ldap.conf 裡面,有關於這段的敘述:
代碼: [選擇]
#nss_base_passwd        ou=People,dc=example,dc=com?one這部份的描述就在於,當所有主機都是連到你的LDAP認證主機時,要怎麼做出區隔? 這邊就提供一個作法,讓系統去確認帳號時有所分別;只要,你一開始建立帳號時有所區隔,即可。


當然,所有的前提是,你一開始的樹狀結構要設計好,分支要符合你設計的狀況才行。
---
剛剛找了一下,好像當初的簡報都沒存活的,真是可惜 U_U
« 上次編輯: 2008-01-07 14:14 由 日京三子 »
哈克不愛的多合一輸入平台----->新香草口味
過去的時間不斷流逝,抹去的眼淚已成追憶;
乾枯的雙手無力阻止,再會了我遠去的曾經。

javaaobo

  • 憂鬱的高中生
  • ***
  • 文章數: 102
    • 檢視個人資料
回覆: LDAP權限問題
« 回覆 #5 於: 2008-01-07 14:42 »
首先,可以先看看這個:
http://phorum.vbird.org/viewtopic.php?p=90506#90506


接著,看一下在 /etc/ldap.conf 裡面,有關於這段的敘述:
代碼: [選擇]
#nss_base_passwd        ou=People,dc=example,dc=com?one這部份的描述就在於,當所有主機都是連到你的LDAP認證主機時,要怎麼做出區隔? 這邊就提供一個作法,讓系統去確認帳號時有所分別;只要,你一開始建立帳號時有所區隔,即可。


當然,所有的前提是,你一開始的樹狀結構要設計好,分支要符合你設計的狀況才行。
---
剛剛找了一下,好像當初的簡報都沒存活的,真是可惜 U_U
我先依你提供的方向去測試,真的非常感謝你
---------
某某爛爛公司的肉肉MIS
歡迎加入好友
我的MSN:constantine0317@hotmail.com

javaaobo

  • 憂鬱的高中生
  • ***
  • 文章數: 102
    • 檢視個人資料
回覆: LDAP權限問題
« 回覆 #6 於: 2008-01-07 15:39 »
依照大大的方法,已經解決了
---------
另外不同的想法又來了,一樣的
我現在有三台Server(a,b,c),有兩個ldap account user(AA,BB)
AA此user要能連線到a,b Server,不能連c Server
BB此user要能連線到b,c Server,不能連a Server
我有辦法直接從User AA的DN值中加入某個兩個參數就能登入a,b Server
從User BB的DN值中加入某個兩個參數就能登入b,c Server
目地是如果要限制連線的話,此方式只需要修改User DN值
如果是修改host中的nss_passwd ....需要每一台都改,比較麻煩
我要怎麼設定呢
---------
某某爛爛公司的肉肉MIS
歡迎加入好友
我的MSN:constantine0317@hotmail.com

日京三子

  • 全區板主
  • 俺是博士!
  • *****
  • 文章數: 8824
    • 檢視個人資料
    • http://www.24online.cjb.net
回覆: LDAP權限問題
« 回覆 #7 於: 2008-01-07 16:15 »
依照大大的方法,已經解決了
---------
另外不同的想法又來了,一樣的
我現在有三台Server(a,b,c),有兩個ldap account user(AA,BB)
AA此user要能連線到a,b Server,不能連c Server
BB此user要能連線到b,c Server,不能連a Server
我有辦法直接從User AA的DN值中加入某個兩個參數就能登入a,b Server
從User BB的DN值中加入某個兩個參數就能登入b,c Server
目地是如果要限制連線的話,此方式只需要修改User DN值
如果是修改host中的nss_passwd ....需要每一台都改,比較麻煩
我要怎麼設定呢

簡單的說,這是邏輯概念的問題。


如果你有一個使用者alpha,要能A能B 不能 C,你會怎麼設計你的樹?
如果你有一個使用者beta,要能B能C 不能 A,你會怎麼設計你的樹?


---
當然,你搞得越複雜,你系統維護上就會越困難;如果是在公司,千萬別這麼設計你的系統,除非你想過幾天之後在報紙上出現某MIS因為解不出自己設計的系統而跳樓自殺的報導....
« 上次編輯: 2008-01-07 16:25 由 日京三子 »
哈克不愛的多合一輸入平台----->新香草口味
過去的時間不斷流逝,抹去的眼淚已成追憶;
乾枯的雙手無力阻止,再會了我遠去的曾經。

javaaobo

  • 憂鬱的高中生
  • ***
  • 文章數: 102
    • 檢視個人資料
回覆: LDAP權限問題
« 回覆 #8 於: 2008-01-07 16:31 »
依照大大的方法,已經解決了
---------
另外不同的想法又來了,一樣的
我現在有三台Server(a,b,c),有兩個ldap account user(AA,BB)
AA此user要能連線到a,b Server,不能連c Server
BB此user要能連線到b,c Server,不能連a Server
我有辦法直接從User AA的DN值中加入某個兩個參數就能登入a,b Server
從User BB的DN值中加入某個兩個參數就能登入b,c Server
目地是如果要限制連線的話,此方式只需要修改User DN值
如果是修改host中的nss_passwd ....需要每一台都改,比較麻煩
我要怎麼設定呢

簡單的說,這是邏輯概念的問題。


如果你有一個使用者alpha,要能A能B 不能 C,你會怎麼設計你的樹?
如果你有一個使用者beta,要能B能C 不能 A,你會怎麼設計你的樹?

當然,你搞得越複雜,你系統維護上就會越困難;如果是在公司,千萬別這麼設計你的系統,除非你想過幾天之後在報紙上出現某MIS因為解不出自己設計的系統而跳樓自殺的報導....
哇~被你說中了,真的有點想跳樓...><...
我知道"如果你有一個使用者alpha,要能A能B 不能 C,你會怎麼設計你的樹?" or "如果你有一個使用者beta,要能B能C 不能 A,你會怎麼設計你的樹?"
但我想不出來""如果你有一個使用者alpha,要能A能B 不能 C,你會怎麼設計你的樹?" and "如果你有一個使用者beta,要能B能C 不能 A,你會怎麼設計你的樹?"
在不修改nss_passwd的方式為前提
例如我提到的,只修改user DN or LDAP Server上的設定
不然要一個一個改Client,我可以會想"飲彈"  ><   :'( :'( :'( :'(
---------
某某爛爛公司的肉肉MIS
歡迎加入好友
我的MSN:constantine0317@hotmail.com

javaaobo

  • 憂鬱的高中生
  • ***
  • 文章數: 102
    • 檢視個人資料
回覆: LDAP權限問題
« 回覆 #9 於: 2008-01-09 16:13 »
問題已經解決
使用ldap.conf中的

## Define the DN of the entry to contain the groupOfUniqueNames.
pam_groupdn              cn=pogo,ou=hosts,dc=plainjoe,dc=org
     
## Define the attribute type that should be used in the attempt to match the user's
## DN.
pam_member_attribute       member
---------
某某爛爛公司的肉肉MIS
歡迎加入好友
我的MSN:constantine0317@hotmail.com

jasonliao

  • 可愛的小學生
  • *
  • 文章數: 8
    • 檢視個人資料
Re: LDAP權限問題
« 回覆 #10 於: 2012-10-23 01:48 »
感謝資訊,想請問如果要針對群組話,是否可行?
因為用 pam_groupdn / pam_member_attribute 的方式似乎只是單一 user 一個一個加
有其它方法是針對群組的嗎?
比如 MIS , RD 要能 login AA 及 BB Server ,而 Sales 只能 login BB Server

目前有試過用 nss_base_passwd , nss_base_group , nss_base_shadow 是可行
還有其它方式嗎?